Form1Résolu/Fermé

Question

Bonjour, 

J'ai une fenêtre Form1 au démarrage, j'ai regardé plusieurs sujets et je n'est pu réussir à le supprimer. J'ai besoin de l'aide d'une ou plusieurs personnes pour m'aider à suivre la procédure pour le supprimer.

Je vous remercie d'avance d'avoir pris le temps de lire ce message.

fabul · Answer

Salut,

Fais un nettoyage avec AdwCleaner

Installe RegRun Reanimator

Clic sur "Fix problems".

Clic sur "Scan windows startup...".

Coche la case "Use deep level scanning once (For advanced users)".

Clic sur "Make scan now".

Patiente durant l'analyse.

Clic sur "Fix problems".

Attention, il détecte des faux positifs (des bons fichiers).

Tu peux faire des recherches.

Assure toi de ne supprimer que des malwares ou inutiles avec "Get it out", sinon tu peux planter ton système.

Passe avec la flèche pour les autres ou clic sur "False positive" si c'est un item que tu connais.

Clic sur "Reboot" a la fin.

Si tu n'est pas sur de ce qu'il faut supprimer ou pas, tu ferais mieux de demander de l'aide,

Si tu a besoin d'aide,

Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious , tu peux le dire, on procédera différemment. 

Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.

Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.

Met un espace d'une ligne entre chaque item détecté pour que ça soit lisible.

fabul · Answer

Clic-droit dans le milieu de la fenêtre et choisis "Save to file" pour copier le résultat dans un fichier texte.

Tu peux le nommer 1 (tout court), le .txt sera généré automatiquement.

Clic sur la flèche pour passer a l'item suivant, fais comme pour le premier et nomme le 2, et ainsi de suite avec les autres.

A la fin, clic sur "Exit".

Poste les résultats contenus dans les fichiers texte dans ton prochain message.

Met un espace d'une ligne entre chaque item détecté pour que ça soit lisible.

fabul · Answer

Pas de malware détecté.

Tu peux garder RegRun Reanimator, cliquer sur "False positive" pour les éléments sains, il ne les détectera plus, il peut t'être utile pour surveiller le système et éliminer les malwares.

Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).

Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut:

https://www.cjoint.com/c/DIwp0hjRA6Y

Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.


Si tu a toujours le message au démarrage, regarde avec Autoruns

Tu verra probablement Form1 avec une ligne jaune, supprime.

fabul · Answer

Ok, je vais te dire ce que je vois avec ZHP.

Malware:

Rien.

Non traité:

[MD5.A8D57EBFBA7DDC3B69D4FB083575F896] - (.Microsoft - GCloud.) -- C:\Program Files (x86)\Gigabyte\CloudStation\HomeCloud\GCloud.exe [19264] [PID.2180] ©
[MD5.369F9199DF040FED27FBBAE2ACADDECF] - (.Microsoft - HCLOUD.) -- C:\Program Files (x86)\Gigabyte\CloudStation\HomeCloud\HCLOUD.exe [155968] [PID.2284] ©
[MD5.B1F0045F4621C94B97CC782908F1D57E] - (.Copyright ©  2013 - grckm.) -- C:\Program Files (x86)\Gigabyte\CloudStation\RemoteControl\grckm.exe [15872] [PID.2500]
[MD5.12E72132B491D1E969E2FD97D670F62A] - (.Copyright ©  2011 - ubssrv.) -- C:\Program Files (x86)\Gigabyte\CloudStation\RemoteOC\ubssrv_oc_only.exe [107008] [PID.2560]
[MD5.45A7392B0A3CE065D997F20D59345A3A] - (.Gigabyte Technology CO., LTD. - Smart TimeLock Service.) -- C:\Program Files (x86)\Gigabyte\Smart TimeLock\TimeMgmtDaemon.exe [102400] [PID.2724]
[MD5.E51DB25ADCE8B65EBDF1EF7843D3A98A] - (.Gigabyte Technology CO., LTD. - Time Management Application.) -- C:\Program Files (x86)\Gigabyte\Smart TimeLock\AlarmClock.exe [4988928] [PID.5888]
O42 - Logiciel: Cloud Station - (.GIGABYTE.) [HKLM][64Bits] -- InstallShield_{41B20CB6-32EE-468B-982C-4864E2135BD0} ©
O42 - Logiciel: GameCtrl B14.0528.1 - (.GIGABYTE.) [HKLM][64Bits] -- InstallShield_{6BBE6CF2-84B2-4ECA-9ECA-C56925C1CCE2} ©
O42 - Logiciel: EZSetup B14.0528.1 - (.GIGABYTE.) [HKLM][64Bits] -- InstallShield_{9EAB60B6-70FE-4EC7-8DF4-54773E4EAC05} ©
O42 - Logiciel: Cloud Station - (.GIGABYTE.) [HKLM][64Bits] -- {41B20CB6-32EE-468B-982C-4864E2135BD0} ©
O42 - Logiciel: Awesomium Redistributable - (.SIX Networks GmbH.) [HKLM][64Bits] -- {5BCB064B-9F65-4E15-BAFB-669E72E54FD9}
O42 - Logiciel: GameCtrl B14.0528.1 - (.GIGABYTE.) [HKLM][64Bits] -- {6BBE6CF2-84B2-4ECA-9ECA-C56925C1CCE2} ©
O42 - Logiciel: EZSetup B14.0528.1 - (.GIGABYTE.) [HKLM][64Bits] -- {9EAB60B6-70FE-4EC7-8DF4-54773E4EAC05} ©
HKCU\SOFTWARE\AI_RecycleBin
O43 - CFD: 2015/08/28 20:25:47 - [] D -- C:\Program Files (x86)\obs-studio
O43 - CFD: 2015/07/28 16:18:03 - [0] D -- C:\Program Files (x86)\VpnOneClick
O43 - CFD: 2015/01/13 20:19:07 - [] D -- C:\Users\Romain\AppData\Local\RzStats
O58 - SDL:2015/01/03 16:31:29 A . (...) -- C:\Windows\System32\drivers\ghflt.sys   [16856]
O87 - FAEL: "{0889B67A-97D4-4F82-BF2B-61F640FC9A2C}" [In-None-P6-TRUE] .(...) -- C:\Program Files (x86)\GameforgeLive\gfl_client.exe
O87 - FAEL: "{CA0AA543-75DC-4401-80CF-A623D8DE8B4B}" [In-None-P17-TRUE] .(.Copyright ©  2011 - ubssrv.) -- C:\Program Files (x86)\Gigabyte\CloudStation\RemoteOC\ubssrv_oc_only.exe
O87 - FAEL: "{CB7F473B-19A9-4737-AB98-C861D8712E4B}" [In-None-P17-TRUE] .(.Copyright ©  2013 - grckm.) -- C:\Program Files (x86)\Gigabyte\CloudStation\RemoteControl\grckm.exe

Inconnu:

O43 - CFD: 2015/08/28 20:27:50 - [] D -- C:\Program Files (x86)\OBS
O43 - CFD: 2015/08/29 16:30:32 - [] D -- C:\Users\Romain\AppData\Roaming\OBS
O43 - CFD: 2015/07/28 15:42:57 - [] D -- C:\Users\Romain\AppData\Roaming\Reg

Superflu:

O2 - BHO: GBHO.BHO [64Bits] - {45d30484-7ded-43d9-957a-d2fd1f046511} . (...) -- mscoree.dll (.not file.)
O43 - CFD: 2015/07/28 21:26:31 - [0] D -- C:\Users\Romain\AppData\Local\TempTaskUpdateDetectionE14C55C5-808D-45D9-81CF-E2396BF2B50C

Variable:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified
O43 - CFD: 2015/01/12 21:26:02 - [] D -- C:\Users\Romain\AppData\Local\Apps

Info:

Windows Defender W7 (Deactivate)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoActiveDesktopChanges: Modified
R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
O61 - LFC: 2015/08/29 11:54:58 A . (..) -- C:\Users\Romain\Documents\Rockstar Games\GTA V\Profiles\EE230120\pc_settings.bin   [1104]
O61 - LFC: 2015/08/28 19:59:56 A . (..) -- C:\Users\Romain\Documents\OBS stream\OBS-MP-0.11.4-Installer.exe   [33758976]
O61 - LFC: 2015/08/28 20:27:43 A . (..) -- C:\Users\Romain\Documents\OBS stream\OBS_0_655b_Installer.exe   [7420880]

Le reste , c'est classé dans Sécurité et légitime...

Je ne vois pas la dedans ce qui peut tenter de démarrer de Form1

A part peut être un programme ou driver légitime de Gigabyte ou autre logiciels installés sur l'ordinateur.

Tu peux tenter d'en désactiver pour voir.

fabul · Answer

Installe ZHPFix

Importe le script qui suit et clic sur GO

Script ZHPFix
SysRestore
O2 - BHO: GBHO.BHO [64Bits] - {45d30484-7ded-43d9-957a-d2fd1f046511} . (...) -- mscoree.dll (.not file.)
O43 - CFD: 2015/07/28 21:26:31 - [0] D -- C:\Users\Romain\AppData\Local\TempTaskUpdateDetectionE14C55C5-808D-45D9-81CF-E2396BF2B50C
ShortcutFix
EmptyPrefetch
EmptyCLSID
EmptyFlash
EmptyTemp

On va déja supprimer ce qui est superflu.

Form1

5 réponses

Discussions similaires

Newsletters